Elasticsearch慢查询分析

已于 2023-03-11 09:57:57 修改
阅读量2.6k 收藏 4
点赞数
分类专栏: elasticsearch 文章标签: elasticsearch 大数据
于 2022-08-18 18:54:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jsbylibo/article/details/126411894
版权
本文介绍了Elasticsearch中如何识别和分析慢查询及慢写入操作,通过设置阈值记录慢查询日志和慢写入日志。慢查询日志包括queryphase和fetchphase的阈值设置,而慢写入日志也有相应的阈值配置。日志格式和存储可通过log4j2.properties进行定制。运维人员应定期检查这些日志,发现问题查询并通知开发人员进行性能优化。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

es里面的操作,主要分为两种,一种写入(增删改),另一种是查询(搜索)

我们分别要识别出来,哪些写入操作性能比较慢,哪些查询操作性能比较慢,先要识别出来有性能问题的这些慢查询,慢写入,然后才能去考虑如何优化写入的性能,如何优化搜索的性能

搜索慢查询日志

无论是慢查询日志,还是慢写入日志,都是针对shard级别的,因为大家应该知道,无论你是执行增删改,还是执行搜索,都是对某个数据执行写入或者是搜索,其实都是到某个shard上面去执行的

shard上面执行的慢的写入或者是搜索,都会记录在针对这个shard的日志中

阈值的意思,就是说,什么叫做慢?搜索,5s叫做慢?还是10s叫做慢?或者是1s叫做慢?

比如说,你设置一个阈值,5s就是搜索的阈值,5s就叫做慢,那么一旦一个搜索请求超过了5s之后,就会记录一条慢搜索日志到日志文件中

shard level的搜索慢查询日志,会将搜索性能较慢的查询写入一个专门的日志文件中。可以针对query phase和fetch phase单独设置慢查询的阈值,而具体的慢查询阈值设置如下所示:

在elasticsearch.yml中,设置

index.search.slowlog.threshold.query.warn: 10s
index.search.slowlog.threshold.query.info: 5s
index.search.slowlog.threshold.query.debug: 2s
index.search.slowlog.threshold.query.trace: 500ms

index.search.slowlog.threshold.fetch.warn: 1s
index.search.slowlog.threshold.fetch.info: 800ms
index.search.slowlog.threshold.fetch.debug: 500ms
index.search.slowlog.threshold.fetch.trace: 200ms

而慢查询日志具体的格式,都是在log4j2.properties中配置的,比如下面的配置:

appender.index_search_slowlog_rolling.type = RollingFile
appender.index_search_slowlog_rolling.name = index_search_slowlog_rolling
appender.index_search_slowlog_rolling.fileName = ${sys:es.logs}_index_search_slowlog.log
appender.index_search_slowlog_rolling.layout.type = PatternLayout
appender.index_search_slowlog_rolling.layout.pattern = [%d{ISO8601}][%-5p][%-25c] %.10000m%n
appender.index_search_slowlog_rolling.filePattern = ${sys:es.logs}_index_search_slowlog-%d{yyyy-MM-dd}.log
appender.index_search_slowlog_rolling.policies.type = Policies
appender.index_search_slowlog_rolling.policies.time.type = TimeBasedTriggeringPolicy
appender.index_search_slowlog_rolling.policies.time.interval = 1
appender.index_search_slowlog_rolling.policies.time.modulate = true

logger.index_search_slowlog_rolling.name = index.search.slowlog
logger.index_search_slowlog_rolling.level = trace
logger.index_search_slowlog_rolling.appenderRef.index_search_slowlog_rolling.ref = index_search_slowlog_rolling
logger.index_search_slowlog_rolling.additivity = false

索引慢写入日志

可以用如下的配置来设置索引写入慢日志的阈值:

index.indexing.slowlog.threshold.index.warn: 10s
index.indexing.slowlog.threshold.index.info: 5s
index.indexing.slowlog.threshold.index.debug: 2s
index.indexing.slowlog.threshold.index.trace: 500ms
index.indexing.slowlog.level: info
index.indexing.slowlog.source: 1000

用下面的log4j.properties配置就可以设置索引慢写入日志的格式:

appender.index_indexing_slowlog_rolling.type = RollingFile
appender.index_indexing_slowlog_rolling.name = index_indexing_slowlog_rolling
appender.index_indexing_slowlog_rolling.fileName = ${sys:es.logs}_index_indexing_slowlog.log
appender.index_indexing_slowlog_rolling.layout.type = PatternLayout
appender.index_indexing_slowlog_rolling.layout.pattern = [%d{ISO8601}][%-5p][%-25c] %marker%.10000m%n
appender.index_indexing_slowlog_rolling.filePattern = ${sys:es.logs}_index_indexing_slowlog-%d{yyyy-MM-dd}.log
appender.index_indexing_slowlog_rolling.policies.type = Policies
appender.index_indexing_slowlog_rolling.policies.time.type = TimeBasedTriggeringPolicy
appender.index_indexing_slowlog_rolling.policies.time.interval = 1
appender.index_indexing_slowlog_rolling.policies.time.modulate = true

logger.index_indexing_slowlog.name = index.indexing.slowlog.index
logger.index_indexing_slowlog.level = trace
logger.index_indexing_slowlog.appenderRef.index_indexing_slowlog_rolling.ref = index_indexing_slowlog_rolling
logger.index_indexing_slowlog.additivity = false

把这个东西记录好了以后,就可以什么呢?es集群运维管理员,就需要经常每天去看看,正常情况下,慢查询应该是比较少数的。所以比如你每天检查一次,如果发现某个查询特别慢,就要通知写这个查询的RD,开发人员,让他们去优化一下性能。



 

参考:

https://www.jianshu.com/p/3e58d27a37fb

ElasticSearch数据库配置慢查询日志_IT_狂奔者的博客-CSDN博客_elasticsearch慢查询日志

https://www.jianshu.com/p/3d3e05e70425

ES索引设置慢日志设置
08-11 802
ES索引设置慢日志设置。
ElasticsearchES 慢查询 profile 参数
九师兄
05-18 1772
1.概述 es profile 参数类似逆向解析dsl,排查查询慢在哪? 打印出DSL,可以通过接口: searchSourceBuilder.toString() 新增profile参数,查看到底哪里慢了。profile API的目的是:将ES高层的ES请求拉平展开,直观的让你看到请求做了什么,每个细分点花了多少时间。给你改善性能提供相关支撑工作。 使用举例如下: GET /_search { "profile": true, "query" : { "match" : { "me.
Elasticsearch日志配置--性能调优之慢查询日志
顾丽江的专栏
04-08 2318
es里面的操作,主要分为两种,一种写入(增删改),另一种是查询(搜索) 我们分别要识别出来,哪些写入操作性能比较慢,哪些查询操作性能比较慢,先要识别出来有性能问题的这些慢查询,慢写入,然后才能去考虑如何优化写入的性能,如何优化搜索的性能 搜索慢查询日志 无论是慢查询日志,还是慢写入日志,都是针对shard级别的,因为大家应该知道,无论你是执行增删改,还是执行搜索,都是对某个数据执行写入或者是搜索,其实都是到某个shard上面去执行的 shard上面执行的慢的写入或者是搜索,都会记录在针对这个shar
ES查询慢
fox_233的博客
09-27 740
ES查询性能低优化
为什么Elasticsearch查询变得这么慢了?
hellozhxy的博客
08-02 2213
让index压力分摊至多个节点:可通过index.routing.allocation.totalshardsper_node参数,强制限定一个节点上该index的shard数量,让shard尽量分配到不同节点上 综合考虑整个index的shard数量,如果shard数量(不包括副本)超过50个,就很可能引发拒绝率上升的问题,此时可考虑把该index拆分为多个独立的index,分摊数据量,同时配合routing使用,降低每个查询需要访问的shard数量。通常,当您使用搜索引擎时,您需要最准确的结果。
ES 查询比较慢的原因排查并查看ES节点状态
ajax_beijing_java的博客
09-05 3725
如果数据量过大,每次查询时需要进行大量的遍历和计算,会导致查询时间变长。可以通过对索引进行优化,如添加合适的字段映射,减少不必要的字段存储来缩短查询时间。如果索引设计不合理,也会导致查询时间变长。可以通过检查分片和副本配置、合理设置Mapping和Analazer等方式来优化索引设计。如果硬件资源不足,如CPU、内存、磁盘I/O等方面,也会影响查询性能。可以通过增加硬件资源、调整集群配置等方式来提高查询性能。如果使用的ES版本过低,可能存在一些性能问题和bug,建议升级到最新版本或稳定版本。
征服ESElasticSearch)的慢查询实战
yuanmomoya的博客
10-18 834
ElasticsearchES)中,进行大数据查询时,常常会由于多种因素而导致性能显著下降。接下来,我们将深入探讨几种常见情况及其相应的解决方案。
mysql-slow-log-import-to-elasticsearch:将mysql慢查询日志导入elasticsearch进行分析
05-04
本项目"mysql-slow-log-import-to-elasticsearch"的目标是将MySQL的慢查询日志有效地导入到Elasticsearch,以便于进行深度分析和快速检索。 在实现这个过程中,主要涉及以下几个关键知识点: 1. **MySQL慢查询日志...
ElasticsearchES查询慢问题排查思路 profile 参数
九师兄
02-23 8590
1.概述 转载:添加链接描述 2.场景 场景1 内存参数配置不合理,文件系统缓存不足。 场景2 查询范围过大,一次查询过多的分片,如全表扫描查询。 场景3 进行深度翻页查询,如查询10000之后的结果。 场景4 查询返回的结果集过大,如10w。 场景5 查询语句不是最优,如过滤查询可以使用filter。 场景6 使用模糊匹配查询造成内存溢出的问题。 场景7 聚合查询返回的结果集过大,聚合的范围过大。 场景8 聚合查询多唯一值引起的高内存使用率。 场景9 用text字段进行排序,造成fiel
Elasticsearches 各种 日志 慢日志 慢查询
九师兄
10-21 5136
文章目录1.概述1.1 Elasticsearch日志列表1.2 日志级别1.3 日志格式2.慢日志2.2 慢日志全局级别设定3.根治慢查询3.1 慢查询六大症状3.1.1 症状1:非活动(检索/写入)状态资源利用率也非常高3.1.2 症状2:线程池存在大量rejected3.1.3 症状3:高CPU和索引化延迟3.1.4 症状4:副本增加后延时增大3.1.5 症状5:共享硬件资源时的高资源利用率。3.1.6 症状6:聚合N多唯一值引起的高内存使用率M.扩展阅读 1.概述 日志存储路径: 运行日志:
ElasticSearch(3) - 慢查询优化思路
weixin_43367242的博客
09-04 1988
ES慢查询可能会导致性能瓶颈,影响系统的响应时间和用户体验。要优化 ES 查询性能,可以从查询语句和表结构两个方面入。从优化角度,可以优化查询类型、合理使用fliter、限制字段返回等都是有效的方法。从优化角度,选择合适的字段类型、合理设置索引、优化分片和副本设置等也是提高性能的关键。
Elasticsearch的TermsQuery慢查询分析和优化
hellozhxy的博客
08-02 2963
本篇文章主要记录业务上的一个TermsQuery优化和分析的过程和一些思考。在使用ES的时候,经常会遇到慢查询,这时候可以利用profile进行分析,当利用profile也查看不出什么端倪时候,可以尝试通过阅读代码查看查询为什么这么慢。如下是一个我们内部业务的一个慢查询,经常出现4s左右的延时,一模一样的查询,但是延时不一样,且很难复现。
elasticsearch集群慢查询调优求援
qq_42557970的博客
08-23 884
elasticsearch集群慢查询调优求援
ElasticSearch】查询慢问题
weixin_47541454的博客
01-14 3770
ElasticSearch】使用过程中出现的查询慢问题
如何解决 Elasticsearch 查询缓慢的问题以获得更好的用户体验
Elastic 中国社区官方博客
08-08 3432
Elasticsearch Service 用户的重要注意事项:目前,本文中描述的 Kibana 设置更改仅限于 Cloud 控制台,如果没有我们支持团队的手动干预,则无法进行配置。我们的工程团队正在努力消除对这些设置的限制,以便我们的所有用户都可以启用内部 APM。本地部署不受此问题的影响。对于任何使用 Elasticsearch 作为搜索引擎的人来说,识别查询并排除查询故障是一项需要掌握的关键技能。
查询太慢?看看ES是如何把索引的性能压榨到极致的!
xingduan5153的博客
12-17 653
欢迎关注专栏:Java架构技术进阶。里面有大量batj面试题集锦,还有各种技术分享,如有好文章也欢迎投稿哦。 上一篇文章简单地介绍过了ES的相关概念,还没看的同学快去复习下: ES是什么?看完这篇就不要再问这种低级问题了!文章的最后提到了倒排索引,不知道有没有勾起大家的好奇心,ES的索引是怎么做,为什么他会被广泛地叫做搜索引擎而不是数据库?根源在它的索引,所以这一篇带你一探究竟...
Elasticsearch 慢查询自动化巡检实践
weimob_tech的博客
05-31 651
本文主要阐述了在大批量 ES 集群下进行慢查询治理的一个方案。在自动化巡检下,发现集群查询中可以优化的内容和方向,降低排查成本。其中慢查询的判断规则和优化手段也随着慢查询治理的深入而进一步完善。在生产环境下慢查询的产生因素是复杂多样的。除了基本的profile分析,火焰图/heap dump等方式也是有效手段,在实际排查过程中也避免不了这类操作的介入。面对不同的慢查询原因,优化手段也是因地制宜,往往也是需要研发运维甚至产品等各方面同学的支持。
ES数值类型慢查询优化
weixin_41866717的博客
06-22 1177
在设置mapping时请结合查询场景合理设置type:numeric 类型在数据区分度很高、量不大(如订单编号这种唯一属性)时,可以使用Term Query;在区分度低、数据量大(如枚举值、状态值)时不要设为numeric类型而是设为Keyword类型进行Term Query,若已经设为numeric类型请使用Range Query,参考本文endIdx查询DSL的优化。
ES慢查询分析——性能提升6 倍
Angus
12-26 3874
生产环境频繁报警。查询跨度91天的数据,请求耗时已经来到了30+s。报警的阈值为5s。经过问题排查,提供了优化方案。最后请求时间降到5s内。
es日志慢查询
最新发布
04-02
<think>嗯,用户想分析Elasticsearch中的慢查询日志,找出原因和解决方案。首先,我需要回忆一下Elasticsearch的慢日志机制。记得有索引慢日志和搜索慢日志两种,用户的问题是关于查询的,所以应该关注搜索慢日志。系统指令里提到的引用[1]也提到这一点,所以需要确认是否正确。 然后,用户需要知道如何开启和配置慢日志。根据引用[1],慢日志的配置是在索引级别设置的,可以通过修改索引设置来开启。可能需要用PUT请求更新索引配置,设置阈值,比如将search.slowlog.threshold.query.warn设为5秒。这部分需要详细说明步骤,确保用户能正确配置。 接下来是分析慢查询日志的位置。日志通常位于Elasticsearch的日志目录下,文件名包含_index_search_slowlog.log。用户可能需要查看这些日志文件,或者通过Kibana的日志查看功能更方便地分析,引用[2]提到Kibana是Elasticsearch的可视化工具,可以推荐使用。 然后要分析常见原因。分几个方面,比如查询复杂度,是否有大范围的通配符查询或者模糊查询;分片问题,比如分片过多或分布不均;硬件资源不足,比如CPU、内存或磁盘IO;索引设计不合理,比如缺少合适的映射或未使用分片策略;还有集群状态问题,比如脑裂,引用[3]中的脑裂问题可能影响性能,需要检查集群健康状态。 解决方案部分,要针对每个原因给出对应的解决办法。比如优化查询语句,避免通配符,使用过滤器;调整分片数量和大小;扩容集群或增加节点;优化索引设计,使用时间分区;定期监控集群状态,防止脑裂。引用[3]中的curl命令可以检查集群健康,需要提醒用户使用。 最后,生成相关问题时要涵盖配置、工具、索引设计、集群优化等方面,确保用户能进一步探索。检查是否所有引用都正确应用,比如引用[1]关于慢日志类型,引用[2]关于Elasticsearch和Kibana,引用[3]关于脑裂和集群健康检查。确保回答结构清晰,步骤正确,解决方案具体可行。</think>### Elasticsearch慢查询日志分析及解决方案 #### 一、慢查询日志的配置与启用 1. **日志类型区分** Elasticsearch慢查询日志属于搜索慢速日志(search slow logs),需在索引级别配置。通过调整阈值参数可控制日志记录条件: ```json PUT /my_index/_settings { "index.search.slowlog.threshold.query.warn": "5s", "index.search.slowlog.threshold.query.info": "2s" } ``` 当查询耗时超过设定阈值时,日志会记录详细信息[^1]。 2. **日志文件定位** 慢查询日志默认存储在Elasticsearch日志目录(如`/var/log/elasticsearch`),文件名格式为`{cluster_name}_index_search_slowlog.log`。可通过Kibana的日志管理功能直接查看结构化日志[^2]。 #### 二、慢查询的常见原因分析 1. **复杂查询语句** - 使用通配符查询(`wildcard`)、模糊查询(`fuzzy`)或正则表达式 - 未优化的嵌套聚合(nested aggregations)或多层桶聚合 - 未启用分页导致全量结果返回(如`size: 10000`) 2. **分片相关问题** - 分片数量过多(单个索引超过50个分片) - 分片分布不均衡(通过`GET _cat/shards?v`检查) - 跨分片查询未合并缓存(`query_then_fetch`模式效率低) 3. **硬件资源瓶颈** - 磁盘IOPS不足(SSD硬盘可提升性能) - JVM堆内存不足引发频繁GC(通过`GET _nodes/stats/jvm`监控) - CPU利用率持续高于80% 4. **索引设计缺陷** - 未使用合适的数据类型(如将数值字段设为`text`) - 缺乏时间分区(time-based index pattern) - 未启用`doc_values`导致聚合效率低下 5. **集群状态异常** - 脑裂问题导致节点间通信延迟(通过`GET _cluster/health`检查`status`字段)[^3] - 未关闭的索引占用资源(`close index`可减少内存消耗) #### 三、系统性优化方案 1. **查询语句优化** - 用`term`查询替代`match`查询过滤精确值 - 使用`filter context`替代`query context`跳过相关性算分 ```json { "query": { "bool": { "filter": [{"range": {"timestamp": {"gte": "now-1d/d"}}}] } } } ``` 2. **分片策略调整** - 单个分片大小控制在10-50GB(通过`GET _cat/indices?v`检查) - 使用`routing`参数将相关文档分配到相同分片 - 冷热数据分离部署(hot-warm架构) 3. **硬件与配置优化** - 设置JVM堆内存为物理内存的50%(不超过32GB) - 启用查询缓存(`indices.queries.cache.size: 10%`) - 升级到最新版本(如7.x以上版本优化了并发查询性能) 4. **索引设计改进** - 对时序数据采用滚动索引(Rollover Index) - 对高基数字段禁用`fielddata` - 使用`keyword`类型替代`text`+`keyword`双字段(若无需分词) 5. **集群运维监控** - 定期执行`_forcemerge`减少segment数量 - 使用Elasticsearch的Profiling API分析查询耗时分布 - 通过APM工具(如Elastic APM)跟踪全链路性能 #### 四、诊断工具推荐 1. **内置命令** ```bash # 查看热点线程 GET _nodes/hot_threads # 分析索引性能 GET _index_stats ``` 2. **可视化工具** - Kibana的Search Profiler - Cerebro集群管理工具 - Prometheus+Granfa监控体系
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值